"Passwort vergessen" funktioniert nicht

[jannemann]

hallo,

ich habe einen shop in der version 1.03 installiert.
wenn ich auf "passwort vergessen" klicke, kann ich OHNE eingabe des captcha codes die anfrage absenden. die e-mails kommen auch alle an.

im demo-shop funktioniert es so, wie es eigentlich auch sein sollte. die datei password_double_opt.php habe ich noch mal neu hochgeladen. leider trotzdem ohne erfolg.

kann mir jemand helfen?

schöne grüße,
jan

//nachtrag:

auch für die newsletter-anmeldung kann ich das captcha-feld leer lassen *args*....



Linkback: https://www.modified-shop.org/forum/index.php?topic=4014.0

[speedy]

Hört sich nach diesem Problem an
http://www.modified-shop.org/forum/topic.php?id=3512

[vr]

jan, an beiden Stellen gibt es aktuelle Änderungen. Hol Dir bitte die entsprechenden Dateien aus dem Trunk. Backup der 1.03er Originale nicht vergessen.

Grüße, Volker

[billybob]

Hallo jannemann,
habe das gleiche in meinem shop probiert. SELBER EFFFEKT.
Ich kann mich im newsletter eintragen OHNE das Captcha-feld überhaupt einzugeben.

@speedy
Das ist definitiv ein anderes Problem.

Gruß
billybob

[billybob]

jan, an beiden Stellen gibt es aktuelle Änderungen. Hol Dir bitte die entsprechenden Dateien aus dem Trunk. Backup der 1.03er Originale nicht vergessen.

Grüße, Volker

Die sollten sich dann wohl besser alle holen, die einen 1.03 installiert haben, oder?
Gruß
billybob

[vr]

Hallo billybob,

grundsätzlich ja, aber da es trunk-Dateien sind, sollten erst ein, zwei Leute die in 1.03 einbauen, gut testen und Bescheid sagen, obs passt. Wir haben die nur in Bezug auf die Trunkversion (kommende 1.04) getestet. Sollte aber passen.

Grüße, Volker

[billybob]

Hallo vr,
ich habe mir gerade die aktuelle newsletter.php aus dem Trunk (752) geholt und mit meiner verglichen.
Kein Unterschied (außer einigen Kommentaren der Entwickler)
Das Problem ist damit also nicht behoben.
Ich kann weiterhin einen newsletter bestellen, OHNE den captcha eingeben zu müssen.
Scheinbar findet keine Prüfung statt, dass überhaupt ein Wert eingegeben wird.
Gruß
billybob

PS: password_double_opt funktioniert bei mir.

[vr]

Hmm, kein Unterschied kann nur sein, wenn Du die Trunkversion im Einsatz hast? Die Datei ist vor 7 Tagen geändert worden und enthält etliche Änderungen (r752).

Moment bitte, sehe, es gab noch eine Änderung ...

Grüße, Volker

[Tomcraft]

Wie kann es sein, dass deine newsletter.php aus modified eCommerce Shopsoftware 1.03 gleich ist zur r752?

Grüße

Torsten

[billybob]

Hmm, kein Unterschied kann nur sein, wenn Du die Trunkversion im Einsatz hast? Die Datei ist vor 7 Tagen geändert worden und enthält etliche Änderungen (r752).

Moment bitte, sehe, es gab noch eine Änderung ...

Grüße, Volker

Ja,
aber ich hatte die Änderungen aus http://www.modified-shop.org/forum/topic.php?id=3512 schon eingefügt.
Und diese habe ich dann auch in den shop übernommen. Bin nicht auf die Idde gekommen, die Änderungen zu testen, weil ich den shop endlich online haben wollte.
Gruß
billybob

Aber bevor wir hier die Pferde scheu machen... ich schaue im Morgengrauen noch mal in Ruhe nach. Bis denne....

[billybob]

Hallo,
ich habe den Fehler verifizieren können.
In der newsletter.php wird folgende Bedingung abgefagt:

Code: PHP  [Auswählen]

        if (xtc_validate_email(trim($_POST['email'])) && ($_POST['check'] == 'inp') && (strtoupper($_POST['vvcode']) == $_SESSION['vvcode'])) {
 

Leider liefert bei mir die Kontrollausgabe von $_SESSION und $POST
$POST[vvcode]=
$_SESSION[vvcode]=
Beide sind also leer und damit stimmt der rechte Teil der if-Bedingung.
Frage: Wie kommt es, dass $SESSION leer ist?

Mögliche Antwort:
Startseite --> Newsletter anmelden (ohne Eingabe einer eMail) --> EMail-Adresse aber kein captcha eingeben "senden" geklickt. Fehler.

Möglicher FIX: newsletter.php
... bedeutet, der Code dazwischen wurde ausgeblendet. Die beiden Breiche sind ca. vor Zeile 60 und Zeile 127.

Code: PHP  [Auswählen]

        // BOF - billybob - 2010-02-15: check empty vvcode
        if ( !isset($_POST['vvcode']) || $_POST['vvcode'] == '' ) {
            // Diesen Key in german.php einfügen
            //$info_message = ERROR_VVCODE_NULL;
            $info_message = 'Bitte geben Sie den Sicherheitscode ein';
        } else {
        // EOF - billybob - 2010-02-15: check empty vvcode
  //BOF - Dokuman - 2009-09-04: convert uppercase Captchas to lowercase, to be more flexible on user input
...
        } else {
            $info_message = '';
            if (!xtc_validate_email(trim($_POST['email']))) $info_message .= ERROR_EMAIL;
                if (strtoupper($_POST['vvcode']) != $_SESSION['vvcode']) $info_message .= ERROR_VVCODE;
        }
        // BOF - billybob - 2010-02-15 check empty vvcode
        }
        // EOF - billybob - 2010-02-15 check empty vvcode
 

Jeweils nur die Texte von BOF bis EOF Die anderen Zeilen sind zur Orientierung, falls die Zeilennummern nicht stimmen.


Gruß
Rolf

[billybob]

Und hier der FIX für die password_double_opt.php
Dies vor Zeile 58 einfügen:

Code: PHP  [Auswählen]

// BOF - billybob - 2010-02-15: check empty vvcode
    if ( !isset($_POST['vvcode']) || $_POST['vvcode'] == '' ) {
        // Diesen Key in german.php einfügen
        //$info_message = ERROR_VVCODE_NULL;
        $case = code_error;
        $info_message = 'Bitte geben Sie den Sicherheitscode ein';
    } else {
    // EOF - billybob - 2010-02-15: check empty vvcode
//BOF - Dokuman - 2009-09-04: convert uppercase Captchas to lowercase, to be more flexible on user input
 

Dies vor Zeile 77

Code: PHP  [Auswählen]

        // BOF - billybob - 2010-02-15 check empty vvcode
        }
        // EOF - billybob - 2010-02-15 check empty vvcode
}

// Verification
 

Jeweils nur die Texte von BOF bis EOF Die anderen Zeilen sind zur Orientierung, falls die Zeilennummern nicht stimmen.

[web28]

Hallo Billybob,

dass der Code richtig funktioniert, kannst Du im Demoshop sehen.

https://demo.modified-shop.org/trunk/

Wenn bei Dir $_SESSION['vvcode'] leer ist, funktioniert sowieso keine Captcha Überprüfung.

Warum ist bei Dir $_SESSION['vvcode'] leer? Das darf eigentlich nicht vorkommen.

Gruss Web28

[billybob]

Hallo Billybob,

dass der Code richtig funktioniert, kannst Du im Demoshop sehen.

Hallo Web28,
Das es im Demoshop funktioniert ändert nichts an der Tatsache, dass es bei mir nicht funktioniert.
$_SESSION['vvcode'] ist und bleibt leer. (Meistens, manchmal geht es auch bei mir im shop)

Wenn bei Dir $_SESSION['vvcode'] leer ist, funktioniert sowieso keine Captcha Überprüfung.

Nee, aber genau dann kann ich ohne CAPTCHA einen newsletter bestellen. Das ist die Möglichkeit für bots die Datenbank randvoll zu machen. Das darf ja wohl nicht sein, oder?
Deshalb habe ich den Code s.o. eingefügt. Dann kann zumindest keiner was eintragen obwohl die captcha nicht funktioniert.

Warum ist bei Dir $_SESSION['vvcode'] leer? Das darf eigentlich nicht vorkommen.

Gruss Web28

gute Frage, das. Diese hatte ich auch gestellt, ich weiss es nämlich nicht, warum $SESSION... leer ist.
Habe aber auch keine Ahnung wann, von wem, wie $_SESSION['vvcode'] belegtbzw. nicht belegt wird.

Weiss das jemand?

[vr]

billybob, hast Du cookies aus?

Grüße, Volker